Domande frequenti sul Centro identità AWS IAM

D: Cos'è il Centro identità AWS IAM?

IAM Identity Center si basa su AWS Identity and Access Management (IAM) per semplificare la gestione degli accessi a più account AWS, ad applicazioni AWS e ad altre applicazioni cloud con SAML attivato. In IAM Identity Center crei o colleghi i tuoi utenti della forza lavoro da utilizzare in AWS. Puoi scegliere di gestire l'accesso solo ai tuoi account AWS, solo alle tue applicazioni cloud, o a entrambi. È possibile creare utenti direttamente in IAM Identity Center, oppure portarli dalla tua directory della forza lavoro esistente. Con IAM Identity Center, ottieni un'esperienza di amministrazione unificata per definire, personalizzare e assegnare un accesso granulare. Gli utenti della forza lavoro ottengono un portale utente per accedere ai loro account AWS assegnati o alle loro applicazioni cloud.

D: Quali sono i vantaggi di IAM Identity Center?

IAM Identity Center può essere utilizzato per assegnare e gestire in modo semplice e veloce l'accesso dei dipendenti a più account AWS, applicazioni cloud con SAML attivato (come Salesforce, Microsoft 365 e Box) e applicazioni in-house personalizzate da un'unica posizione. I dipendenti possono essere più produttivi accedendo con le loro credenziali esistenti o con quelle configurate in IAM Identity Center. Possono utilizzare un unico portale utente personalizzato. Avrai maggiore visibilità sull'utilizzo delle applicazioni cloud, dal momento che potrai monitorare e verificare l'attività di accesso a livello centralizzato da AWS CloudTrail.

D: Quali problemi risolve IAM Identity Center?

IAM Identity Center elimina la complessità amministrativa della federazione e della gestione delle autorizzazioni separatamente per ogni account AWS. Consente di configurare le applicazioni AWS da un'unica interfaccia e di assegnare l'accesso alle applicazioni cloud da un'unica postazione.
IAM Identity Center aiuta anche a migliorare la visibilità degli accessi integrandosi con AWS CloudTrail e offrendo una posizione centrale da cui verificare l'accesso single sign-on agli account AWS e applicazioni cloud con SAML abilitato come Microsoft 365, Salesforce e Box.

D: Perché dovrei utilizzare IAM Identity Center?

IAM Identity Center è la porta d'ingresso consigliata per AWS. Dovrebbe essere lo strumento principale per gestire l'accesso ad AWS dei tuoi utenti della forza lavoro. Consente di gestire le identità nella tua origine identità preferita, di collegarle una sola volta per utilizzarle in AWS, di definire autorizzazioni granulari e di applicarle in modo coerente in tutti gli account. Man mano che il numero di account aumenta, IAM Identity Center offre la possibilità di essere utilizzato come un unico luogo per gestire l'accesso degli utenti a tutte le applicazioni cloud.

D: Cosa posso fare con IAM Identity Center?

IAM Identity Center può essere utilizzato per assegnare ai dipendenti l'accesso agli account AWS all’interno di AWS Organizations, delle applicazioni cloud aziendali (come Salesforce, Microsoft 365 e Box) e delle applicazioni personalizzate che supportano Security Assertion Markup Language (SAML) 2.0 in modo semplice e veloce. I dipendenti possono accedere alle applicazioni di business da un singolo portale utente tramite le loro credenziali aziendali esistenti oppure tramite credenziali che configurano in IAM Identity Center. IAM Identity Center ti consente inoltre di verificare l'accesso degli utenti ai servizi cloud tramite AWS CloudTrail.

D: Chi dovrebbe utilizzare IAM Identity Center?

IAM Identity Center è rivolto agli amministratori che gestiscono più account e applicazioni di business di AWS, che desiderano centralizzare la gestione degli accessi utente su questi servizi cloud e offrire ai dipendenti una posizione unica dove poter accedere ad e applicazioni senza dover memorizzare ulteriori password.

D: Come si inizia a utilizzare IAM Identity Center?

Come nuovo cliente IAM Identity Center:

1. Accedi alla Console di gestione AWS dell'account di gestione nel tuo account AWS, quindi naviga nella console IAM Identity Center.
2. Seleziona la directory che utilizzi per archiviare le identità di utenti e gruppi dalla console IAM Identity Center. IAM Identity Center fornisce una directory per impostazione predefinita che è possibile utilizzare per gestire utenti e gruppi in IAM Identity Center. Puoi inoltre cambiare directory per connetterti a una directory Microsoft AD facendo clic su un elenco di istanze Managed Microsoft AD e AD Connector che IAM Identity Center individua automaticamente nel tuo account. Se desideri connetterti a una directory Microsoft AD, consulta la sezione Nozioni di base su Servizio di directory AWS.
3. Concedi agli utenti l'accesso single sign-on agli account AWS nella tua organizzazione selezionando gli account AWS da un elenco popolato da IAM Identity Center, quindi seleziona gli utenti o i gruppi dalla tua directory e le autorizzazioni che desideri concedere.
4. Concedi agli utenti l'accesso alle applicazioni cloud aziendali:
   a. Seleziona una delle applicazioni dall'elenco di applicazioni preintegrate supportate su IAM Identity Center.
   b. Configura l'applicazione attenendoti alle istruzioni di configurazione.
   c. Seleziona gli utenti o i gruppi che devono accedere a questa applicazione.
5. Comunica agli utenti l'indirizzo Web di accesso IAM Identity Center generato quando hai configurato la directory, in modo che possano accedere a IAM Identity Center, nonché agli account e alle applicazioni aziendali.

D: Quanto costa IAM Identity Center?

IAM Identity Center è disponibile senza costi aggiuntivi.

D: In quali regioni è disponibile IAM Identity Center?

Per informazioni sulla disponibilità di IAM Identity Center in base alla regione, consulta la tabella delle Regioni di AWS.

D: Quali origini identità posso utilizzare con IAM Identity Center?

Grazie al Centro identità IAM, è possibile creare e gestire le identità utente nell’archivio identità del Centro identità IAM. In alternativa, consente di connettere facilmente l’origine identità esistente tra cui Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (in precedenza Azure AD) o un altro gestore dell’identità digitale supportato. Per saperne di più, consultare il Manuale dell'utente del Centro identità IAM.

D: Posso connettere più di un'origine identità a IAM Identity Center?

No. È possibile avere una sola directory o un solo gestore dell'identità digitale SAML 2.0 collegato contemporaneamente a IAM Identity Center. Tuttavia, è possibile cambiare l'origine identità collegata a un'altra.

D: Quali gestori dell’identità digitale SAML 2.0 è possibile utilizzare con il Centro identità IAM?

È possibile connettere il Centro identità IAM alla maggior parte dei gestori dell’identità digitale SAML 2.0, come Okta Universal Directory o Microsoft Entra ID (in precedenza Azure AD). Per saperne di più, consultare il Manuale dell'utente del Centro identità IAM.

D: L'attivazione del Centro identità IAM modificherà i miei ruoli, utenti o policy IAM esistenti?

No, il Centro identità IAM non modifica ruoli, utenti o policy IAM esistenti nei tuoi account AWS. Il Centro identità IAM crea nuovi ruoli e policy specificamente da utilizzare tramite il Centro.

D: Come posso eseguire il provisioning delle identità dai miei gestori dell'identità digitale esistenti nel Centro identità IAM?

È necessario effettuare il provisioning delle identità fornite dal gestore dell'identità digitale nel Centro identità IAM prima di poter assegnare le autorizzazioni. È possibile sincronizzare automaticamente le informazioni su utenti e gruppi da Okta Universal Directory, Microsoft Entra ID (in precedenza Azure AD), OneLogin e PingFederate utilizzando lo standard SCIM (System for Cross-domain Identity Management). Per altri gestori dell’identità digitale, è possibile effettuare il provisioning di utenti dal proprio gestore dell'identità digitale utilizzando la console del Centro identità IAM. Per saperne di più, consulta il Guida per l'utente del Centro identità IAM.

D: Devo migrare al Centro identità IAM tutto in una volta o posso farlo gradualmente?

Dopo aver abilitato il Centro identità IAM, tutti i ruoli o gli utenti IAM esistenti continueranno a funzionare come previsto. Ciò significa che puoi completare la migrazione al Centro identità IAM con un approccio graduale senza interrompere l'accesso esistente ad AWS.

D: Come faccio a migrare i ruoli esistenti al Centro identità IAM?

Il Centro identità IAM fornisce nuovi ruoli da utilizzare all'interno dei tuoi account AWS. Puoi collegare le stesse policy utilizzate con i ruoli IAM esistenti ai nuovi ruoli utilizzati con il Centro identità IAM.

D: Il Centro identità IAM crea utenti e gruppi IAM nei miei account AWS?

Il Centro identità IAM non crea utenti e gruppi IAM. Dispone di un proprio archivio di identità creato appositamente per contenere le informazioni degli utenti. Quando si utilizza un provider di identità esterno, il Centro identità conserva una copia sincronizzata degli attributi utente e dell'appartenenza ai gruppi, ma nessun materiale di autenticazione come password o dispositivi MFA. Il tuo provider di identità esterno rimane la fonte di verità per le informazioni e gli attributi degli utenti.

È possibile automatizzare la sincronizzazione dell'identità nel Centro identità IAM?

Sì. Se si utilizzano Okta Universal Directory, Microsoft Entra ID ( in precedenza Azure AD), OneLogin o PingFederate, è possibile avvalersi di SCIM per sincronizzare automaticamente le informazioni su utenti e gruppi dal proprio gestore dell'identità digitale al Centro identità IAM. Per saperne di più, consultare il Manuale dell'utente del Centro identità IAM.

D: Come connetto IAM Identity Center a Microsoft Active Directory?

È possibile connettere IAM Identity Center ad Active Directory (AD) on-premise o a un AWS Managed Microsoft AD Directory utilizzando il servizio di directory AWS. Per saperne di più, consulta il Manuale dell'utente IAM Identity Center.

D: Gestisco utenti e gruppi in Active Directory on-premise. Come posso usufruire di questi gruppi e utenti in IAM Identity Center?

Per collegare Active Directory in hosting on-premise a IAM Identity Center sono disponibili due opzioni: (1) utilizzare AD Connector oppure (2) utilizzare una relazione di trust di AWS Managed Microsoft AD. AD Connector connette semplicemente l'Active Directory on-premise esistente ad AWS. AD Connector è un gateway di directory in grado di reindirizzare le richieste di directory a una Microsoft Active Directory on-premise senza memorizzare informazioni nella cache del cloud. Per connettere una directory on-premise utilizzando AD Connector consulta la Guida all’amministrazione del servizio di directory AWS. AWS Managed Microsoft AD semplifica la configurazione e l’esecuzione di Microsoft Active Directory in AWS. Può essere utilizzato per configurare una relazione di trust di insieme di strutture tra la directory on-premise e AWS Managed Microsoft AD. Per configurare una relazione di trust, consulta la Guida all’amministrazione del servizio di directory AWS.

D: È possibile utilizzare i pool di utenti di Amazon Cognito come origine identità in IAM Identity Center?

Amazon Cognito è un servizio che aiuta a gestire le identità per le applicazioni orientate al cliente. Non è un'origine identità supportata nel Centro identità IAM. È possibile creare e gestire le identità della forza lavoro nel Centro identità IAM o nell'origine identità esterna tra cui Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (in precedenza Azure AD) o un altro gestore dell'identità digitale supportato.

D: Il Centro identità IAM supporta la riga di comando del browser e le interfacce dei dispositivi mobili?

Sì, è possibile utilizzare IAM Identity Center per controllare l’accesso alla console di gestione AWS e CLI v2. IAM Identity Center consente agli utenti di accedere alla CLI e alla console di gestione AWS con autenticazione Single Sign-On. L'app della console mobile di AWS supporta anche IAM Identity Center. In questo modo potrai ottenere un'esperienza di accesso uniforme tra browser, dispositivi mobili e interfacce della linea di comando.

D: Quali applicazioni cloud posso connettere a IAM Identity Center?

A IAM Identity Center è possibile connettere le seguenti applicazioni:

1. Applicazioni integrate in IAM Identity Center: le applicazioni integrate in IAM Identity Center come SageMaker Studio e IoT SiteWise utilizzano IAM Identity Center per l'autenticazione e operano con le identità presenti in IAM Identity Center. Non è necessaria un'ulteriore configurazione per sincronizzare le identità in queste applicazioni o per configurare la federazione separatamente.
2. Applicazioni SAML preintegrate: IAM Identity Center è disponibile con applicazioni aziendali preintegrate di utilizzo comune. Un elenco completo è disponibile nella console IAM Identity Center.
3. Applicazioni SAML personalizzate: IAM Identity Center supporta le applicazioni che permettono la federazione delle identità utilizzando SAML 2.0. È possibile abilitare IAM Identity Center per supportare queste applicazioni utilizzando la procedura guidata personalizzata.

D: Quali account AWS è possibile collegare a IAM Identity Center?

Su IAM Identity Center è possibile aggiungere qualsiasi account AWS gestito tramite AWS Organizations. Per gestire gli account Single Sign-On è necessario attivare tutte le funzioni nella tua organizzazione.

D: Come posso configurare Single Sign-On sugli account AWS in un'unità organizzativa all'interno della mia organizzazione?

È possibile scegliere gli account all'interno dell'organizzazione oppure filtrarli per unità organizzativa.

D: Cos'è la propagazione affidabile delle identità?

La propagazione affidabile delle identità si basa sull'OAuth 2.0 Authorization Framework, che consente alle applicazioni di accedere ai dati e ad altre risorse per conto di un utente specifico, senza condividere le credenziali di quell'utente. Questa funzionalità del Centro identità IAM semplifica la gestione dell'accesso ai dati per gli utenti, il controllo e migliora l'esperienza di accesso per gli utenti di analisi su più applicazioni di analisi AWS.

D: Perché utilizzare la propagazione affidabile delle identità?

Gli amministratori delle risorse e dei database possono definire l'accesso alle proprie risorse a un livello granulare di appartenenza a utenti e gruppi. I revisori possono esaminare le azioni degli utenti su applicazioni di business intelligence e analisi dei dati interconnesse. Gli utenti delle applicazioni di business intelligence possono autenticarsi una sola volta per accedere alle origini dati AWS. La propagazione affidabile delle identità aiuta i clienti a soddisfare i requisiti per l'accesso con privilegi minimi ai dati nei flussi di lavoro di analisi che si estendono su più applicazioni e servizi AWS, come Amazon Redshift, Amazon S3, Amazon QuickSight, Amazon Athena e AWS LakeFormation. 

D: Quali sono i casi d'uso generali per la propagazione affidabile delle identità?

L'uso principale della propagazione affidabile delle identità consiste nel consentire alle applicazioni di business intelligence (BI) di interrogare i servizi di analisi AWS, come Amazon Redshift o Amazon QuickSight, per i dati richiesti dagli utenti aziendali con un unico accesso utente tramite il provider di identità esistente del cliente, mantenendo al contempo la consapevolezza dell'identità dell'utente. La funzionalità supporta diversi tipi di applicazioni di BI di uso comune e utilizza diversi meccanismi per propagare l'identità dell'utente tra i servizi.

D: Com'è possibile controllare le autorizzazioni degli utenti quando utilizzano il Centro identità IAM per accedere al loro account?

Quando concedi l'accesso ai tuoi utenti, puoi limitare le loro autorizzazioni scegliendo un set di autorizzazioni. I set di autorizzazioni sono una serie di autorizzazioni che è possibile creare in IAM Identity Center, personalizzandole in base alle policy gestite da AWS per le funzioni lavorative o qualsiasi policy gestita da AWS. Le policy gestite da AWS per le funzioni lavorative sono progettate per allinearsi il più possibile alle funzioni lavorative comuni nel settore IT. Se necessario, puoi anche personalizzare completamente il set di autorizzazioni in modo da soddisfare i tuoi requisiti di sicurezza. IAM Identity Center applica automaticamente tali autorizzazioni agli account selezionati. Se modifichi i set di autorizzazioni, IAM Identity Center ti consente di applicare facilmente le modifiche ai relativi account. Quando gli utenti accedono agli account tramite il portale di accesso AWS, queste autorizzazioni limitano ciò che possono fare all'interno degli account. Puoi anche concedere più set di autorizzazioni ai tuoi utenti. Quando accedono all'account tramite il portale utente, possono scegliere il set di autorizzazioni di cui hanno bisogno per la sessione in questione.

D: Come posso automatizzare la gestione delle autorizzazioni su più account?

IAM Identity Center fornisce il supporto per le API e AWS CloudFormation per automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recuperare programmaticamente le autorizzazioni ai fini di audit e di governance.

D: Come si selezionano gli attributi utente da utilizzare per ABAC?

Per implementare ABAC, è possibile selezionare gli attributi dall'archiviazione delle identità del Centro identità IAM per gli utenti del Centro identità IAM e gli utenti sincronizzati da Microsoft AD o da gestori dell'identità digitale SAML 2.0 esterni, tra cui Okta Universal Directory, Microsoft Entra ID (in precedenza Azure AD), OneLogin o PingFederate. Quando si utilizza un gestore dell'identità digitale come origine identità, è possibile inviare gli attributi come parte di un'asserzione SAML 2.0.

D: Per quali account AWS posso ottenere credenziali dell'interfaccia della linea di comando AWS (AWS CLI)?

Puoi ottenere credenziali AWS CLI per qualsiasi account AWS e autorizzazioni utente assegnate dall’amministratore IAM Identity Center. Le credenziali CLI possono essere utlizzate per l'accesso programmatico all’account AWS.

D: Per quanto tempo sono valide le credenziali AWS CLI ottenute dal portale di accesso AWS?

Le credenziali AWS CLI ottenute tramite IAM Identity Center sono valide per 60 minuti. Puoi ottenere una nuova serie di credenziali ogni qualvolta sia necessario.

D: Come si configura IAM Identity Center sulle applicazioni di aziendali, ad esempio Salesforce?

Dalla console del Centro identità IAM, accedi al riquadro delle applicazioni, scegli "Configura nuova applicazione", quindi scegli un'applicazione dall'elenco di applicazioni cloud che hanno il Centro identità IAM integrato. Segui le istruzioni visualizzate sullo schermo per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e gli utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona "Assegna l'accesso" per completare la procedura.

D: La mia azienda utilizza applicazioni aziendali che non sono presenti nell'elenco delle applicazioni con il Centro identità IAM integrato. Posso utilizzare comunque il Centro identità IAM?

Sì. Se la tua applicazione supporta SAML 2.0, puoi configurarla come applicazione SAML 2.0 personalizzata. Dalla console IAM Identity Center, accedi al riquadro delle applicazioni, scegli "Configure new application" ("Configura nuova applicazione"), quindi scegli Custom SAML 2.0 application. Segui le istruzioni per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e gli utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona "Assign Access" ("Assegna l'accesso") per completare la procedura.

D: La mia applicazione supporta esclusivamente OpenID Connect (OIDC). Posso utilizzarla con IAM Identity Center?

IAM Identity Center supporta solo applicazioni basate su SAML 2.0.

D: IAM Identity Center supporta il Single Sign-On sulle applicazioni native per dispositivi mobili e desktop?

No. IAM Identity Center supporta il Single Sign-On sulle applicazioni aziendali solamente tramite browser web.

D: Quali dati vengono archiviati da IAM Identity Center per mio conto?

IAM Identity Center archivierà dati relativi agli account e alle applicazioni cloud di AWS che sono assegnati a determinati utenti e gruppi, oltre alle autorizzazioni che sono state concesse per accedere agli account AWS. IAM Identity Center creerà e gestirà inoltre i ruoli IAM nei singoli account AWS per ciascun set di autorizzazioni concesso per gli utenti.

D: Quali funzionalità di autenticazione a più fattori (MFA) si possono usare con IAM Identity Center?

Con IAM Identity Center, è possibile abilitare le funzionalità di autenticazione avanzata basate su standard per tutti gli utenti in tutte le origini identità. Se si utilizza un gestore dell'identità digitale SAML 2.0 supportato come origine identità, è possibile abilitare le funzionalità di autenticazione a più fattori del provider. Quando si utilizza IAM Identity Center o Active Directory come origine identità, IAM Identity Center supporta la specifica di autenticazione Web per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza che utilizzano FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare password valide per un solo accesso (TOTP) utilizzando app di autenticazione come Google Authenticator o Twilio Authy.

È inoltre possibile utilizzare la configurazione MFA Remote Authentication Dial-In User Service (RADIUS) esistente con IAM Identity Center e servizio di directory AWS per autenticare gli utenti come forma di verifica secondaria. Per ulteriori informazioni sulla configurazione di MFA con IAM Identity Center, consulta il Manuale dell'utente IAM Identity Center.

IAM Identity Center supporta la specifica di autenticazione Web?

Sì. Per le identità utente nell'archiviazione delle identità di IAM Identity Center e Active Directory, IAM Identity Center supporta la specifica di autenticazione Web (WebAuthn) per contribuire a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza con FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare password valide per un solo accesso (TOTP) utilizzando app di autenticazione come Google Authenticator o Twilio Authy.

D: In che modo i miei dipendenti possono iniziare a utilizzare IAM Identity Center?

I dipendenti possono iniziare a utilizzare IAM Identity Center visitando il portale di accesso generato durante la configurazione della tua origine identità su IAM Identity Center. Se gestisci gli utenti su IAM Identity Center, i dipendenti possono utilizzare l'indirizzo e-mail e la password che hanno configurato con IAM Identity Center per effettuare l'accesso ad altri portali utenti. Se connetti IAM Identity Center a Microsoft Active Directory o a un gestore dell'identità digitale SAML 2.0, i dipendenti possono accedere al portale utente con le credenziali aziendali esistenti e visualizzare quindi gli account e le applicazioni a loro assegnati. Per accedere a un account o a un'applicazione, i dipendenti devono scegliere l'icona associata dal portale di accesso.

D: Sono disponibili API per IAM Identity Center?

Sì. IAM Identity Center fornisce API di assegnazione account per consentire di automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recupera programmaticamente le autorizzazioni a fini di audit e di governance.